專利名稱:實(shí)現(xiàn)信息備份的方法����、防火墻和網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域�����,尤其涉及一種實(shí)現(xiàn)信息備份的方法�、防火墻 和網(wǎng)絡(luò)系統(tǒng)。
背景技術(shù):
防火墻作為網(wǎng)絡(luò)中的監(jiān)測防護(hù)設(shè)備��,對網(wǎng)絡(luò)的安全起著重要的作用。目 前主流的防火墻一般采用狀態(tài)檢測防火墻���,通過該類防火墻記錄每一個(gè)會話 的會話信息�,并根據(jù)記錄的會話信息動態(tài)地判斷是否丟棄接收的報(bào)文���。這里 所述會話信息包括會話建立的相關(guān)參數(shù)���,以及現(xiàn)有會話的狀態(tài)信息,例如源 地址�����、目的地址�、報(bào)文協(xié)議類型、所處會話狀態(tài)等��。
在實(shí)際的應(yīng)用中����,為了提高安全可靠性,防火墻通常采用雙機(jī)熱備組網(wǎng) 方式��,其中一臺處于工作狀態(tài),另一臺處于備份狀態(tài)���,當(dāng)工作狀態(tài)防火墻發(fā) 生故障時(shí)����,備份狀態(tài)防火墻接替其工作��。該方法只有在報(bào)文來回路徑一致的 情況下���,才能確保防火墻記錄的每一個(gè)會話的會話信息的完整性,所以在具 體應(yīng)用上的組網(wǎng)配置較為復(fù)雜�。
現(xiàn)有技術(shù)提出一種支持報(bào)文來回路徑不一致的處理方法。圖1為現(xiàn)有技
術(shù)組網(wǎng)圖���,包括防火墻l���、防火墻2; 3各由器R1�、 R2、 R3�、 R4。如果采用 傳統(tǒng)的報(bào)文來回路徑一致方式�,路徑為R3》防火墻l->Rl->防火墻1)R3; 但現(xiàn)采用報(bào)文來回路徑不一致方式時(shí),則路徑為R3-〉防火墻l->Rl->R2-> 防火墻2-〉R4�。針對現(xiàn)有技術(shù)報(bào)文來回路徑不一致的情況�����,每臺防火墻都會定 期掃描記錄的會話信息�,然后將會話信息通過防火墻之間的心跳線備份到另 一臺防火墻上��,這樣在其中一臺防火墻發(fā)生故障后��,另一臺防火墻可以根據(jù) 之前備份過來的會話信息,處理會話業(yè)務(wù)�����。
在對現(xiàn)有技術(shù)的研究和實(shí)踐過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)存在以下問題 由于現(xiàn)有技術(shù)采用的是定期掃描后再進(jìn)行會話信息備份���,必然會有延時(shí), 導(dǎo)致兩臺防火墻記錄的會話信息不能實(shí)時(shí)完全一致���,因而某些會話業(yè)務(wù)沒法 正常進(jìn)行�����。例如其中一臺防火墻在處理會話時(shí)��,由于沒能及時(shí)的獲得該會話 最新的會話信息��,與該會話相關(guān)的業(yè)務(wù)也就無法正常的進(jìn)行�����。 發(fā)明內(nèi)容本發(fā)明實(shí)施例要解決的技術(shù)問題是提供一種實(shí)現(xiàn)信息備份的方法���、防火 墻和網(wǎng)絡(luò)系統(tǒng)��,能夠保證防火墻之間記錄的會話信息實(shí)時(shí)一致����。
本發(fā)明實(shí)施例提供一種實(shí)現(xiàn)信息備份的方法,用于實(shí)現(xiàn)至少兩個(gè)防火墻
之間的信息備份�,包括接收報(bào)文;在檢測到所述接收的報(bào)文使記錄的會話 信息發(fā)生變化時(shí)����,將變化后的會話信息備份到另 一 防火墻。
本發(fā)明實(shí)施例一種防火墻,包括接收單元����,用于接收報(bào)文;處理單元�����, 用于在檢測到所述接收的報(bào)文使記錄的會話信息發(fā)生變化時(shí)�,將變化后的會 話信息備份到另 一 防火墻。
本發(fā)明實(shí)施例一種網(wǎng)絡(luò)系統(tǒng)�����,包括第一防火墻�����,用于接收報(bào)文�����,并檢 測所述接收的報(bào)文是否使記錄的會話信息發(fā)生變化��,若是�,將變化后的會話 信息發(fā)送出去��;第二防火墻��,用于接收所述第一防火墻發(fā)送的所述變化后的 會話信息后進(jìn)行備份����。
本發(fā)明實(shí)施例提供的技術(shù)方案由于是在檢測到接收的報(bào)文使記錄的會話 信息發(fā)生變化時(shí)�,就將變化后的會話信息備份到另一防火墻,從而通過這種 即時(shí)的備份機(jī)制�����,保證了防火墻之間記錄的會話信息實(shí)時(shí)一致�����。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實(shí) 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地��,下面 描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講����, 在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖�。
圖1為現(xiàn)有技術(shù)組網(wǎng)圖2為本發(fā)明實(shí)施例一實(shí)現(xiàn)信息備份的方法流程圖; 圖3為本發(fā)明實(shí)施例二實(shí)現(xiàn)信息備份的方法流程圖�����; 圖4為本發(fā)明實(shí)施例三實(shí)現(xiàn)信息備份的方法流程圖��; 圖5為本發(fā)明實(shí)施例防火墻結(jié)構(gòu)示意圖���; 圖6為本發(fā)明實(shí)施例網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖����。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚�����、完整地描述���,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例�����?�;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。
本發(fā)明實(shí)施例提供了 一種實(shí)現(xiàn)信息備份的方法,能夠保證防火墻之間記 錄的會話信息實(shí)時(shí)一致���,使得會話的業(yè)務(wù)正常進(jìn)行��。
本發(fā)明實(shí)施例中,備份會話信息時(shí)不區(qū)分防火墻的主備狀態(tài)����,即當(dāng)?shù)谝?防火墻作為主防火墻���,第二防火墻作為備防火墻時(shí),會話信息可以從主防火 墻備份到備防火墻��,也可以從備防火墻備份到主防火墻�����。
下面結(jié)合附圖對本發(fā)明實(shí)施例作詳細(xì)描述�����。
實(shí)施例一
參見圖2����,是本發(fā)明實(shí)施例一實(shí)現(xiàn)信息備份的方法流程圖,以第一防火墻 和第二防火墻為例進(jìn)行說明���,包括步驟 步驟201��、第一防火墻接收報(bào)文����;
第一防火墻接收各種不同協(xié)議類型的報(bào)文,可能是ICMP( Internet Control Message Protocol,互聯(lián)網(wǎng)控制報(bào)文協(xié)議)報(bào)文�����,或者是UDP (User Datagram Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)報(bào)文�����,也可能是TCP( Transmission Control Protocol, 傳輸控制協(xié)議)報(bào)文��。
步驟202��、所述第一防火墻在檢測到所述接收的報(bào)文使記錄的會話信息發(fā) 生變化時(shí)�����,將變化后的會話信息備份到第二防火墻�。
第一防火墻在檢測到所述接收的報(bào)文使記錄的會話信息發(fā)生變化時(shí),立 即將變化后的會話信息備份到第二防火墻����。
這里所說的檢測到接收的報(bào)文使記錄的會話信息發(fā)生變化,可能是需要 根據(jù)接收的報(bào)文建立新會話并新增會話信息而導(dǎo)致記錄的會話信息發(fā)生變 化����,也可能是接收報(bào)文后原有的會話狀態(tài)發(fā)生變化,需要更新會話信息而導(dǎo) 致記錄的會話信息發(fā)生變化�����。
可以發(fā)現(xiàn)�����,實(shí)施例 一通過在檢測到所述接收的報(bào)文使記錄的會話信息發(fā) 生變化時(shí)����,將變化后的會話信息立即備份到第二防火墻,從而保證第二防火 墻與第 一防火墻之間的會話信息實(shí)時(shí)一致�����。
在網(wǎng)絡(luò)系統(tǒng)的具體應(yīng)用中���,根據(jù)報(bào)文協(xié)議的不同�,本發(fā)明實(shí)施例實(shí)現(xiàn)會 話信息備份的方法采用不同的方式實(shí)現(xiàn)�����,下面結(jié)合不同的報(bào)文協(xié)議對本發(fā)明實(shí)施例進(jìn)一步進(jìn)行具體描述。
實(shí)施例二
參見圖3��,是本發(fā)明實(shí)施例二實(shí)現(xiàn)信息備份的方法流程圖�����。實(shí)施例二主要 描述的是防火墻接收到ICMP或UDP報(bào)文時(shí)的處理流程��,以第一防火墻和第 二防火墻為例進(jìn)行說明�����?����;赨DP或ICMP的會話一般都是無連接的會話���, 不存在會話的變化狀態(tài)��,處理過程相對簡單����。圖3中具體步驟如下
步驟301 �、第 一防火墻接收ICMP或UDP報(bào)文;
步驟302、第一防火墻在自身所記錄的會話信息中查找所接收報(bào)文對應(yīng)的 會話�����;
第 一 防火墻記錄有與會話相關(guān)的會話信息��,會話信息可以存儲在專門的 內(nèi)存中����。當(dāng)接收到報(bào)文時(shí)�,第一防火墻根據(jù)報(bào)文中攜帶的相關(guān)信息,在自身 所記錄的會話信息中查找報(bào)文對應(yīng)的相關(guān)會話�。
步驟303、根據(jù)查找結(jié)果得出是否存在會話���,如果存在會話則進(jìn)入步驟 306�,如果不存在會話則進(jìn)入步驟304;
第一防火墻通過在自身所記錄的會話信息中查找報(bào)文對應(yīng)的相關(guān)會話���, 可以查找到之前是否已經(jīng)建立過會話����,如果已經(jīng)建立過會話����,則存儲有該會 話的相關(guān)信息����,因此得出存在會話���,并進(jìn)入步驟306,否則得出不存在會話���, 進(jìn)入步驟304。
步驟304����、第一防火墻建立ICMP或UDP會話,進(jìn)入步驟305;
第 一防火墻根據(jù)查找結(jié)果得出不存在所接收報(bào)文對應(yīng)的會話后��,同時(shí)根 據(jù)設(shè)置的訪問規(guī)則判斷出該報(bào)文屬于允許通過的報(bào)文�����,則根據(jù)接收的報(bào)文建 立ICMP或UDP會話�,并新增該新會話的會話信息,此時(shí)第 一防火墻記錄的 會話信息已經(jīng)發(fā)生變化�。如果第一防火墻判斷該報(bào)文不允許通過,則會丟棄 該報(bào)文��,結(jié)束流程,不建立會話��。
步驟305����、將ICMP或UDP會話的會話信息備份至第二防火墻,進(jìn)入步 驟306;
第一防火墻通過防火墻之間的心跳線將ICMP或UDP會話的會話信息立 即備份到第二防火墻����,以保證第二防火墻與第一防火墻之間的會話信息實(shí)時(shí) 一致�����。步驟306�����、轉(zhuǎn)發(fā)ICMP或UDP報(bào)文���。
需要說明的是���,上述過程中,是以先備份會話信息再轉(zhuǎn)發(fā)報(bào)文舉例說明���, 也可以是備份會話信息和轉(zhuǎn)發(fā)報(bào)文是同時(shí)進(jìn)行的�,或者是先轉(zhuǎn)發(fā)報(bào)文再備份 會話信息。
可以發(fā)現(xiàn)��,實(shí)施例二通過在檢測到接收ICMP或UDP報(bào)文后因?yàn)樾陆?ICMP或UDP會話而使記錄的會話信息發(fā)生變化時(shí)�����,將變化后的會話信息立 即備份到第二防火墻��,從而保證第二防火墻與第一防火墻之間的會話信息實(shí) 時(shí)一致����。
實(shí)施例三、
參見圖4,是本發(fā)明實(shí)施例三實(shí)現(xiàn)信息備份的方法流程圖�。實(shí)施例三主要 描述的是防火墻接收到TCP報(bào)文時(shí)的處理流程,以第一防火墻和第二防火墻 為例進(jìn)行說明�。因?yàn)榛赥CP的會話存在各種不同狀態(tài),因此處理過程相對 較為復(fù)雜���,但主要也是在檢測到記錄的會話信息發(fā)生變化時(shí)將會話信息備份 到另一防火墻�。這里所說的檢測到記錄的會話信息發(fā)生變化����,包括建立新 會話時(shí)新增會話信息�����,原來已建立會話但會話狀態(tài)發(fā)生變化導(dǎo)致會話信息更 新(例如會話信息的修改或刪除)等�����。
圖4中具體步驟如下
步驟401 ����、第 一防火墻接收TCP報(bào)文��;
步驟402��、第一防火墻在自身所記錄的會話信息中查找所接收報(bào)文對應(yīng)的 會話�����;
第 一 防火墻記錄有與會話相關(guān)的會話信息���,會話信息可以存儲在專門的 內(nèi)存中。當(dāng)接收到報(bào)文時(shí)���,第一防火墻根據(jù)報(bào)文中攜帶的相關(guān)信息�,在自身 所記錄的會話信息中查找報(bào)文對應(yīng)的相關(guān)會話。
步驟403���、根據(jù)查找結(jié)果得出是否存在會話���,如果存在會話則進(jìn)入步驟 404,如果不存在會話則進(jìn)入步驟406;
第一防火墻通過在自身所記錄的會話信息中查找報(bào)文對應(yīng)的相關(guān)會話, 可以查找到之前是否已經(jīng)建立過會話�����,如果已經(jīng)建立過會話�,則存儲有該會 話的相關(guān)信息,因此得出存在會話�����,并進(jìn)入步驟404,否則得出不存在會話�, 進(jìn)入步驟406。步驟404���、判斷接收的報(bào)文是否屬于改變已存在會話的會話狀態(tài)的報(bào)文���, 如果是則進(jìn)入步驟405,否則進(jìn)入步驟410;
在TCP報(bào)文中,改變會話狀態(tài)的報(bào)文可以是SYN + ACK報(bào)文�����、ACK報(bào) 文、RST報(bào)文或者是FIN報(bào)文等�。SYN + ACK報(bào)文是連接建立請求回應(yīng)標(biāo)志 報(bào)文,用以回應(yīng)連接建立請求����;ACK報(bào)文是回應(yīng)標(biāo)志報(bào)文,在一個(gè)TCP連接 中�����,除了第一個(gè)報(bào)文即SYN報(bào)文外���,所有報(bào)文都設(shè)置該字段��,作為對上一個(gè) 報(bào)文的響應(yīng)����;RST報(bào)文是復(fù)位標(biāo)志報(bào)文����;FIN報(bào)文是結(jié)束標(biāo)志報(bào)文���。需要說 明的是����,這里只是舉例說明,至于其他也將改變會話狀態(tài)的報(bào)文��,不再—— 列出����。
步驟405、將更新的會話信息備份至第二防火墻�,進(jìn)入步驟410;
第一防火墻判斷接收的報(bào)文屬于改變已存在會話的會話狀態(tài)的報(bào)文后, 更新對應(yīng)會話的會話信息��,此時(shí)����,記錄的會話信息發(fā)生變化。第一防火墻通 過防火墻之間的心跳線�,將TCP的更新后的會話信息備份立即備份到第二防 火墻,以保證第二防火墻與第一防火墻之間的會話信息實(shí)時(shí)一致�。
步驟406、判斷報(bào)文是否為SYN報(bào)文���,如果是則進(jìn)入步驟408,否則進(jìn) 入步驟407;
步驟407�����、丟棄該報(bào)文�,結(jié)束流程;
步驟408���、第一防火墻建立TCP會話��,進(jìn)入步驟409;
TCP協(xié)議中在收到SYN報(bào)文后會建立TCP會話�����,因此判斷出接收的報(bào) 文為SYN報(bào)文后��,根據(jù)該報(bào)文建立TCP會話�,并新增該會話的會話信息����,此 時(shí),第一防火墻記錄的會話信息發(fā)生變化�。
步驟409、將新記錄的會話信息備份至第二防火墻�����,進(jìn)入步驟410;
第 一 防火墻通過防火墻之間的心跳線將為新建立的會話所記錄的會話信 息備份立即備份到第二防火墻��,以保證第二防火墻與第一防火墻之間的會話 信息實(shí)時(shí)一致�����。
步驟410���、轉(zhuǎn)發(fā)報(bào)文����。
需要說明的是����,上述過程中,是以先備份會話信息再轉(zhuǎn)發(fā)報(bào)文舉例說明�����, 也可以是備份會話信息和轉(zhuǎn)發(fā)報(bào)文是同時(shí)進(jìn)行的��,或者是先轉(zhuǎn)發(fā)報(bào)文再備份 會話信息����。需要說明的是����,上述實(shí)施例是以兩臺防火墻之間互相進(jìn)行會話信息備份
舉例說明�����,對于網(wǎng)絡(luò)系統(tǒng)中N+1備份的組網(wǎng)(N大于2)情況���,其原理是類 似的��。
上述實(shí)施例詳細(xì)介紹了一種實(shí)現(xiàn)信息備份的方法�,相應(yīng)的���,本發(fā)明實(shí)施 例提供一種防火墻和網(wǎng)絡(luò)系統(tǒng)�����。
請參閱圖5�,是本發(fā)明實(shí)施例防火墻結(jié)構(gòu)示意圖�。 如圖5所示,防火墻包括接收單元51���、處理單元52�。 接收單元51,用于接收報(bào)文�����。
處理單元52,用于在檢測到所述接收的報(bào)文使記錄的會話信息發(fā)生變化 時(shí)����,將變化后的會話信息備份到另一防火墻。
處理單元52進(jìn)一步包括存儲單元521�����、查找單元522���、第一處理單元
523�����。
存儲單元521,用于記錄會話信息��。
查找單元522���,用于在所述存儲單元521記錄的會話信息中查找所述報(bào)文 對應(yīng)的會話����。
第一處理單元523�,用于當(dāng)所述查找單元522未查找到所述報(bào)文對應(yīng)的會 話后,根據(jù)所述報(bào)文建立會話���,在所述存儲單元521新增所述會話的會話信 息����,將所述新增的會話信息備份到所述另一防火墻����。此時(shí),第一處理單元523 處理的報(bào)文可以為ICMP報(bào)文�、UDP報(bào)文或TCP報(bào)文中的SYN報(bào)文。
所述處理單元52還包括第二處理單元524��。
第二處理單元524,用于當(dāng)所述查找單元522查找到所述報(bào)文對應(yīng)的會話 后��,進(jìn)一步在判斷出所述報(bào)文屬于改變會話狀態(tài)的報(bào)文時(shí)�,在所述存儲單元 521根據(jù)所述報(bào)文更新所述會話對應(yīng)的會話信息,將所述更新的會話信息備份 到所述另一防火墻�����。這里所述的更新所述會話對應(yīng)的會話信息包括修改或 刪除所述會話對應(yīng)的會話信息。所述屬于改變會話狀態(tài)的報(bào)文包括TCP報(bào) 文中的SYN +ACK報(bào)文���、ACK報(bào)文�����、RST報(bào)文或FIN報(bào)文。 請參閱圖6�����,是本發(fā)明實(shí)施例網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖�。 如圖6所示,網(wǎng)絡(luò)系統(tǒng)包括第一防火墻61����、第二防火墻62。 第一防火墻61����,用于接收報(bào)文,并檢測所述接收的報(bào)文是否使記錄的會話信息發(fā)生變化時(shí)��,若是���,將變化后的會話信息發(fā)送出去�。
第二防火墻62,用于接收所述第一防火墻61發(fā)送的所述變化后的會話信
息后進(jìn)行備份。
所述第一防火墻61進(jìn)一步包括接收單元和處理單元��。 接收單元��,用于接收報(bào)文���。
處理單元�����,用于在記錄的會話信息中查找所述報(bào)文對應(yīng)的會話���,當(dāng)未查找 到所述報(bào)文對應(yīng)的會話后,根據(jù)所述報(bào)文建立會話���,新增所述會話的會話信 息�,將所述新增的會話信息備份到所述另一防火墻�����。所述處理單元當(dāng)查找到 所述報(bào)文對應(yīng)的會話后�����,進(jìn)一步在判斷出所述報(bào)文屬于改變會話狀態(tài)的報(bào)文 時(shí),根據(jù)所述報(bào)文更新所述會話對應(yīng)的會話信息����,將所述更新的會話信息備 份到所述另一防火墻。
第一防火墻61更具體的結(jié)構(gòu)參閱上述圖5所示的結(jié)構(gòu)�����,此處不再詳細(xì)敘 述���。需要說明的是,這里所述的第一防火墻61和第二防火墻62是相對的���, 第二防火墻62也可以具有上述圖5所示的結(jié)構(gòu)��。
綜上所述�����,本發(fā)明實(shí)施例提供的技術(shù)方案由于是在在檢測到接收的報(bào)文 使記錄的會話信息發(fā)生變化時(shí)���,就將變化后的會話信息備份到另一防火墻���, 從而通過這種即時(shí)的備份機(jī)制,保證了防火墻之間記錄的會話信息實(shí)時(shí)一致���。
進(jìn)一步的�����,本發(fā)明實(shí)施例提供的技術(shù)方案�����,針對接收的報(bào)文的不同協(xié)議 類型�,提出不同的處理流程�,應(yīng)用更為靈活。
程�����,是可以通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成�,所述的程序可存儲于 一計(jì)算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時(shí)��,可包括如上述各方法的實(shí)施 例的流程。其中�,所述的存儲介質(zhì)可為磁碟、光盤�����、只讀存儲記憶體(Read-Only Memory, ROM)或隨機(jī)存儲記憶體(Random Access Memory, RAM)等�����。
以上對本發(fā)明實(shí)施例所提供的一種實(shí)現(xiàn)信息備份的方法�����、防火墻和網(wǎng)絡(luò) 系統(tǒng)進(jìn)行了詳細(xì)介紹�����,對于本領(lǐng)域的一般技術(shù)人員����,依據(jù)本發(fā)明實(shí)施例的思 想�,在具體實(shí)施方式
及應(yīng)用范圍上均會有改變之處,綜上所述���,本說明書內(nèi) 容不應(yīng)理解為對本發(fā)明的限制�����。
權(quán)利要求
1�、一種實(shí)現(xiàn)信息備份的方法,用于實(shí)現(xiàn)至少兩個(gè)防火墻之間的信息備份���,其特征在于��,包括接收報(bào)文����;在檢測到所述接收的報(bào)文使記錄的會話信息發(fā)生變化時(shí)���,將變化后的會話信息備份到另一防火墻���。
2、 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)信息備份的方法����,其特征在于,所述在檢 測到所述接收的報(bào)文使記錄的會話信息發(fā)生變化時(shí)�,將變化后的會話信息備 份到另 一防火墻的步驟包括在記錄的會話信息中查找所述報(bào)文對應(yīng)的會話���,當(dāng)未查找到所述報(bào)文對 應(yīng)的會話后,根據(jù)所述報(bào)文建立會話����,新增所述會話的會話信息,將所述新 增的會話信息備份到所述另 一防火墻����。
3、 根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)信息備份的方法��,其特征在于 所述報(bào)文為互聯(lián)網(wǎng)控制報(bào)文協(xié)議ICMP報(bào)文���、用戶數(shù)據(jù)報(bào)協(xié)議UDP報(bào)文或傳輸控制協(xié)議TCP報(bào)文中的連接建立請求SYN報(bào)文����。
4���、 根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)信息備份的方法,其特征在于�,所述方法 還包括當(dāng)查找到所述報(bào)文對應(yīng)的會話后,進(jìn)一步在判斷出所述報(bào)文屬于改變會 話狀態(tài)的報(bào)文時(shí)���,根據(jù)所述報(bào)文更新所述會話對應(yīng)的會話信息��,將所述更新 的會話信息備份到所述另 一防火墻���。
5��、 根據(jù)權(quán)利要求4所述的實(shí)現(xiàn)信息備份的方法�����,其特征在于 所述更新所述會話對應(yīng)的會話信息包括修改或刪除所述會話對應(yīng)的會話信息�����。
6��、 根據(jù)權(quán)利要求4或5所述的實(shí)現(xiàn)信息備份的方法����,其特征在于 所述屬于改變會話狀態(tài)的報(bào)文包括傳輸控制協(xié)議TCP報(bào)文中的連接建立請求回應(yīng)標(biāo)志SYN + ACK報(bào)文���、回應(yīng)標(biāo)志ACK報(bào)文��、復(fù)位標(biāo)志RST報(bào)文 或結(jié)束標(biāo)志FIN報(bào)文�。
7、 一種防火墻�,其特征在于,包括 接收單元���,用于接收報(bào)文�����;處理單元��,用于在檢測到所述接收的報(bào)文使記錄的會話信息發(fā)生變化時(shí)��,將變化后的會話信息備份到另 一防火墻���。
8、 根據(jù)權(quán)利要求7所述的防火墻���,其特征在于����,所述處理單元進(jìn)一步包括存儲單元���,用于記錄會話信息���;查找單元,用于在所述存儲單元記錄的會話信息中查找所述報(bào)文對應(yīng)的 會話�����;第一處理單元����,用于當(dāng)所述查找單元未查找到所述報(bào)文對應(yīng)的會話后, 根據(jù)所述報(bào)文建立會話���,在所述存儲單元新增所述會話的會話信息����,將所述 新增的會話信息備份到所述另 一 防火墻�。
9、 根據(jù)權(quán)利要求8所述的防火墻�,其特征在于,所述處理單元還包括 第二處理單元����,用于當(dāng)所述查找單元查找到所述報(bào)文對應(yīng)的會話后,進(jìn)一步在判斷出所述報(bào)文屬于改變會話狀態(tài)的報(bào)文時(shí)�,在所述存儲單元根據(jù)所 述報(bào)文更新所述會話對應(yīng)的會話信息��,將所述更新的會話信息備份到所述另 一防火墻���。
10、 一種網(wǎng)絡(luò)系統(tǒng)�����,其特征在于�,包括第一防火墻,用于接收報(bào)文����,并檢測所述接收的報(bào)文是否使記錄的會話 信息發(fā)生變化,若是�����,將變化后的會話信息發(fā)送出去�;第二防火墻,用于接收所述第一防火墻發(fā)送的所述變化后的會話信息后 進(jìn)行備份��。
11��、 根據(jù)權(quán)利要求IO所述的網(wǎng)絡(luò)系統(tǒng),其特征在于�����,所述第一防火墻進(jìn) 一步包括接收單元�����,用于接收報(bào)文�;處理單元���,用于在記錄的會話信息中查找所述報(bào)文對應(yīng)的會話����,當(dāng)未查 找到所述報(bào)文對應(yīng)的會話后���,根據(jù)所述報(bào)文建立會話���,新增所述會話的會話 信息,將所述新增的會話信息備份到所述另 一防火墻��。
12��、 根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)系統(tǒng)����,其特征在于 所述處理單元當(dāng)查找到所述報(bào)文對應(yīng)的會話后����,進(jìn)一步在判斷出所述報(bào)文屬于改變會話狀態(tài)的報(bào)文時(shí)���,根據(jù)所述報(bào)文更新所述會話對應(yīng)的會話信息���, 將所述更新的會話信息備份到所述另一防火墻。
全文摘要
本發(fā)明實(shí)施例公開一種實(shí)現(xiàn)信息備份的方法�����、防火墻和網(wǎng)絡(luò)系統(tǒng)��。所述方法��,用于實(shí)現(xiàn)至少兩個(gè)防火墻之間的信息備份�����,包括接收報(bào)文��;在檢測到所述接收的報(bào)文使記錄的會話信息發(fā)生變化時(shí),將變化后的會話信息備份到另一防火墻��。本發(fā)明實(shí)施例提供一種防火墻���,包括接收單元�����,用于接收報(bào)文;處理單元���,用于在檢測到所述接收的報(bào)文使記錄的會話信息發(fā)生變化時(shí)���,將變化后的會話信息備份到另一防火墻。本發(fā)明實(shí)施例還公開一種網(wǎng)絡(luò)系統(tǒng)�����,能夠保證防火墻之間記錄的會話信息實(shí)時(shí)一致���。
文檔編號H04L29/06GK101316271SQ20081013302
公開日2008年12月3日 申請日期2008年7月4日 優(yōu)先權(quán)日2008年7月4日
發(fā)明者吳永清 申請人:華為技術(shù)有限公司